Форум русской поддержки Joomla!® CMS
07.12.2016, 12:41:10 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

jqnlpxhd.php

 (Прочитано 562 раз)
0 Пользователей и 1 Гость смотрят эту тему.
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« : 18.08.2015, 14:47:00 »

В логах сервера у меня была куча обращений к файлу jqnlpxhd.php в корне сайта. Наверно искали шелл. Так как я недавно перенес сайт с 1.5 до 3.3 то мне очень интересны всякие 404 ошибки, для восстановления ссылок. И меня этот мусор стал напрягать и я создал этот файл, который просто записывает IP, откуда, какие аргументы были.
И тут приходит Google и грит, слу, а тубя же вирус сидит.

Код:
Malware infection detected: http://mysite.ru/ 18 августа 2015 г.
Unfortunately, it appears some pages on your site may infect visitors with software designed to access confidential information or harm their computers. You may not be able to easily see these problems if the hacker has configured your server to only show malicious content to certain visitors. To protect visitors to your site from malware, Google’s search results now display a warning when users click a link to your site.
Sample URLs
http://mysite.ru/jqnlpxhd.php?id=3699324

И как быть?
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #1 : 18.08.2015, 14:53:09 »

А может это и есть шелл? ))

Проверь айболитом весь сайт. Не панацея, но много чего интересного покажет.
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #2 : 18.08.2015, 14:59:48 »

Проверю, конечно, но в сообщении именно этот файл указан. Это точно не шел, так как я его сам писал Azn

ЗЫ А если в этом файл "отдавать" 404 ошибку, она в логи будет попадать? По идее ее же не сервер "генерит", а мой скрипт, не должна...
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #3 : 18.08.2015, 17:26:25 »

А что под идом этого номеро должно выводиться? может если из БД, то там вредоносный javascript может быть?
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #4 : 18.08.2015, 18:03:32 »

Я не знаю что там должно выводиться, но там ничего не выходиться. Этот файл писал я сам. Он пишет в файл данные об обратившемся и все. Даже не выводит ничего
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #5 : 18.08.2015, 18:07:35 »

...но там ничего не выходиться...
Ты собрался спорить с Google?

P.S. При переносе со старого сайта тянешь много данных. Еще раз советую - поставь айболит и просканируй. Это минимум, что нужно сделать в твоем случае. А если не хочешь в дальнейшем геморроя, советую послушать, что говорит winstrool.
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #6 : 18.08.2015, 19:33:29 »

Ты собрался спорить с Google?
Я бы поспорил бы, но непонятно куда писать что бы попасть на нужного человека.

Цитировать
P.S. При переносе со старого сайта тянешь много данных. Еще раз советую - поставь айболит и просканируй. Это минимум, что нужно сделать в твоем случае. А если не хочешь в дальнейшем геморроя, советую послушать, что говорит winstrool.
Ну я не то что взял весь старый сайт и поставил на новый. Только статьи и пользователей скопировал. Все остальное с нуля. Да и хостинг тут следит что неверное движение и у площадки половину функций отрубают. И смысла сканировать свой же файл который я и писал и в котором две строчки - нет.

PS Добавил вывод 404 ошибки, отправил на перепроверку в Google. Посомтрим как там и что.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #7 : 18.08.2015, 20:04:18 »

хоть бы показали тогда уж свой файлик, сайт, если не страшно))
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #8 : 18.08.2015, 20:18:26 »

вот файл
Код:
<?php

$log= date("d.m H:i:s").' - http://'.$_SERVER['SERVER_NAME'].$_SERVER['REQUEST_URI']." <- ".$_SERVER['HTTP_REFERER'].' ('.$_SERVER["REMOTE_ADDR"].') ('.$_SERVER['HTTP_USER_AGENT'].')';

file_put_contents ('./../logs/spam.log', $log."\n", FILE_APPEND);

header("HTTP/1.0 404 Not Found");
exit;
?>
Так же на сайте установлена защита от sql иньекций и всяких хитрых запросов (GET/POST).
сайт aleksin24 ru /jqnlpxhd.php

посомтрите, там отдается 404 ошибка. А то у меня страница пустая, но в консоли хрома пишет 404
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #9 : 18.08.2015, 20:22:12 »

И смысла сканировать свой же файл который я и писал и в котором две строчки - нет.
Я про сайт говорил, а не про файл.
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #10 : 18.08.2015, 20:45:02 »

Да причем тут сайт то? Google обнаружил на моем сайте файл, который я написал, и говорит что это вирус. И в панели вэбмастера и в письмах он упоминает только его. Зачем сканировать весь сайт? Понимаю если бы он нашел действительно какую-нить заразу, то имеет смысл, так как она могла располстись, но тут нет ни намека на заражение - я сам написал этот файл. Сам его создал. Зачем?

PS Просканировал сайт. Нету ничего там.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #11 : 18.08.2015, 20:50:39 »

Firefox тоже жалуется на твой сайт! говорит что ты чето пользователям грузишь без их ведома! Смотрю у вас там всяких левых скриптов установлено дофига, бывает что ломают сторонние сайты и троянят те скрипты, которые инклудится пользователям... не факт, но мысль!

P.S: Вот к чему я клоню:https://vk.com/siteprotect?w=wall-37695705_1042 только на вашем примере может быть что то другое....
« Последнее редактирование: 18.08.2015, 20:54:14 от winstrool » Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #12 : 18.08.2015, 20:55:13 »

Ну правильно. Там я так понимаю база то одна. Как Google пометил сайт то все, тушите свет, сливайте воду. Да дело то не в скриптах, не в инклудах. Нету там у меня сейчас вирусов.
Я сам создал файл-заглушку, Google решил что это вирус и понеслось. Я спрашивал что делать в данном случае.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #13 : 18.08.2015, 20:59:57 »

Ну правильно. Там я так понимаю база то одна. Как Google пометил сайт то все, тушите свет, сливайте воду. Да дело то не в скриптах, не в инклудах. Нету там у меня сейчас вирусов.
Я сам создал файл-заглушку, Google решил что это вирус и понеслось. Я спрашивал что делать в данном случае.
интиресно... интиресно.... а вот куки принимаются с сайта http://yadro.ru/, а сам сайт пустой белая страница.... очень интиресно.... ну да ладно, думаю разберетесь ;-)
да и поддомен очень интиресный http://qip.yadro.ru/ очень уж больно он мне напоминает http://qip.ru/
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #14 : 18.08.2015, 21:35:52 »

интиресно... интиресно....
Второй пост - мой первый ответ. Там много чего интересного.... ))

В довесок это:

« Последнее редактирование: 18.08.2015, 21:45:27 от SeBun » Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #15 : 18.08.2015, 21:45:54 »

это счетчик лайфдинтернета
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #16 : 18.08.2015, 21:46:54 »

это счетчик лайфдинтернета

 Shocked

p.s. Скажу проще. Joomla4ever счетчиками не занимается. Она занимается варезными шаблонами и внедрением кода в них.
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #17 : 18.08.2015, 21:47:35 »

а это ссылки на сторонние ресурсы. В чем тут криминал? Вопрос то вообще не про это был
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #18 : 18.08.2015, 21:51:27 »

а это ссылки на сторонние ресурсы. В чем тут криминал? Вопрос то вообще не про это был
Криминал? Да ни в чем. Просто ты скачал ворованный шаблон с сайта, где его владельцы маленько поковырялись в коде, а ты теперь расхлебываешь свою любовь к халяве. А криминала тут никакого...
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #19 : 18.08.2015, 21:54:36 »

Да причем тут шаблон? Причем тут вообще Joomla? Объясняю еще раз:
1. На сайт ломилось куча народа в поискак файла jqnlpxhd.php и тем самым замусоревая лог.
2. Что бы не пачкать лог  я сам создал этот файл jqnlpxhd.php
3. Мусор в логах прекратился
4. Этот файл обнаружил Google и и думает что это вирус. И в пиьсмах и в панели вэбмастера он указывает именно на этот файл.
Вопрос что делать.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #20 : 18.08.2015, 22:01:20 »

Вопрос что делать.
Зайдите сюда.
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3586


« Ответ #21 : 18.08.2015, 22:02:53 »

1. На сайт ломилось куча народа в поискак файла jqnlpxhd.php
Зачем? И почему именно этот файл? Его название мне совсем не нравится.
P.S. И зачем вместо того, чтобы просто отдавать 404, вы ведете лог информации о странице, с которой пользователь перешел, его IP, браузере и т.д.?
« Последнее редактирование: 18.08.2015, 22:09:57 от robert » Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #22 : 18.08.2015, 22:19:45 »

Цитата: Sergey2
Кстате, то что выложили сайт на который жалуется Google, отдельное спасибо, протестировал свой чекер на зараженность в ПС!

Цитировать
aleksin24.ru - Google - Black list || Yandex - White list
Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3586


« Ответ #23 : 18.08.2015, 22:41:25 »

Ваш сайт был замечен при проверке сторонних сайтов, таких как putanapitera.com, ogbuztikb.com, telemachines.ru. Возможно, все из-за варезных расширений.
Здесь в принципе ничего нет на ваш сайт, кроме подозрительной активности, но все же он занесен в список подозрительных. Заведите аккаунт Google, подключите услугу " Инструментов Google для веб-мастеров" и напишите им.
Вы так и не ответили на мой вопрос
Зачем? И почему именно этот файл? Его название мне совсем не нравится.
P.S. И зачем вместо того, чтобы просто отдавать 404, вы ведете лог информации о странице, с которой пользователь перешел, его IP, браузере и т.д.?
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #24 : 18.08.2015, 23:16:20 »

Ваш сайт был замечен при проверке сторонних сайтов, таких как putanapitera.com, ogbuztikb.com, telemachines.ru.
Вот оттуда они и ломяться. По крайней мере первый сайт частенько упоминается.

Цитировать
Возможно, все из-за варезных расширений.
Вот очень сильно в этом сомневаюсь.

Цитировать
Здесь в принципе ничего нет на ваш сайт, кроме подозрительной активности, но все же он занесен в список подозрительных. Заведите аккаунт Google, подключите услугу " Инструментов Google для веб-мастеров" и напишите им.
Я там зареген и аккаунт есть, только что им писать?
Они сами там пишут
"На 0 из 4 страниц сайта, протестированных нами за последние 90 дней". Написать им что на всех страницах (в количестве 0 штук) убрана загрузка вредоносного ПО?

Цитировать
Вы так и не ответили на мой вопрос
Я не знаю зачем они туда ломятся.  Раньше сайт был на Joomla 1.5 и ломали иногда. Потом мне это надоело и я вот переехал на 3.4. Возможно они "по старой памяти", но такого файла я не припомню, так как корень сайта помню "наизусть".
Логи виду так, на всякий случай. Вот например тут вот пригодилось. Ну и что бы лог не мусорился.
Записан
SeBun
Практически профи
*******

Репутация: +134/-3
Offline Offline

Пол: Мужской
Сообщений: 2281



« Ответ #25 : 18.08.2015, 23:21:00 »

Возможно, все из-за варезных расширений...
Да он думает, что Google его забанил несправедливо за самописный скрипт. Я его так же послал разбираться (видимо напрасно)... Он почему то не хочет слушать, что ему говорят, не хочет принимать доводов, весь мир сошелся на одном этом самописном файлике. А то, сколько дряни у него на сайте, он не захотел увидеть. Кроме того, он написал, что проверил сайт айболитом. После того, что написал winstrool и увидел лично сам, я ему не верю.

p.s. В некоторой части этого сайта за последние 90 дней была замечена подозрительная активность (число таких случаев: 1). Если все же подозрение на этот самописный файл, да удалите его и сообщите Google, что по его письму рекомендации выполнены и файл удален. В чем проблема то?
« Последнее редактирование: 18.08.2015, 23:25:23 от SeBun » Записан
robert
Профи
********

Репутация: +344/-11
Offline Offline

Пол: Мужской
Сообщений: 3586


« Ответ #26 : 18.08.2015, 23:36:27 »

Файл jqnlpxhd.php все-таки был создан, не вами, конечно. А потом вы его удалили и создали свой. Я угадал?
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #27 : 18.08.2015, 23:40:26 »

Да не было его. Кто нить вообще читает что я пишу?
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #28 : 19.08.2015, 01:36:17 »

Да не было его. Кто нить вообще читает что я пишу?
а смысл читать?
тут все написано

Раньше сайт был на Joomla 1.5 и ломали иногда. Потом мне это надоело и я вот переехал на 3.4. Возможно они "по старой памяти", но такого файла я не припомню, так как корень сайта помню "наизусть".
Логи виду так, на всякий случай. Вот например тут вот пригодилось. Ну и что бы лог не мусорился.

Сайт на варезе - т.е. напичканный хз чем был изначально.
Под фразой "иногда" я так думаю постоянно, если это как-то и исправлялось, то исправлялись последствия, а не причины.
Т.е. шелы как сидели там месяцами - годами так и будут сидеть. А через эти дыры может проходить все что угодно.

Про это файл - да не вопрос, он может создаваться динамически и обзываться как угодно, сегодня он будет так называться, завтра по другому, а послезавтра его может и не быть.
Другой вопрос если боты от поисковиков на него стучатся, значит они знают о нем и видимо их туда что-то притягивает, а не они сами вот его нашли)
А перестанут они туда стучаться естественно не за день и может даже не за месяц если им отдавать 404 или 303.
Записан
Sergey2
Завсегдатай
*****

Репутация: +15/-1
Offline Offline

Сообщений: 660


« Ответ #29 : 19.08.2015, 16:22:19 »

Если кому интересно, то, как я и писал ранее  - добавил вывод 404 ошибки в файл, отправил на перепроверку и сегодня с утра сайт больше не "потенциально опасный"
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet